计算机理论专业论文:基于LINUX操作系统的防火墙技术及其具体实现
类别:毕业论文 时间:2023-10-09 已浏览: 2103 次
摘要 本文介绍了LINUX下常用的防火墙规则配置软件Ipchains;从实现原理、配置方法以及功能特点的角度描述了LINUX防火墙的三种功能;并给出了一个LINUX防火墙实例作为参考。
关键字 LINUX防火墙 ipchains 包过滤 代理 IP伪装
1 前言
防火墙作为网络安全措施中的一个重要组成部分,一直受到人们的普遍关注。LINUX是这几年一款异军突起的操作系统,以其公开的源代码、强大稳定的网络功能和大量的免费资源受到业界的普遍赞扬。LINUX防火墙其实是操作系统本身所自带的一个功能模块。通过安装特定的防火墙内核,LINUX操作系统会对接收到的数据包按一定的策略进行处理。而用户所要做的,就是使用特定的配置软件(如ipchains)去定制适合自己的“数据包处理策略”。
2 LINUX防火墙配置软件—Ipchains
Ipchains是LINUX 2.1及其以上版本中所带的一个防火墙规则管理程序。用户可以使用
它来建立、编辑、删除系统的防火墙规则。但通常,需要自己创建一个防火墙规则脚本 /etc/rc.d/rc.firewall,并使系统启动时自动运行这个脚本。
一个LINUX防火墙系统的安全机制是通过Input、Output、Forward这三个“防火链”来实现的。而用户正是使用ipchains在这三个“链”上分别创建一套“防火规则”,来完成对到来数据包层层限制的目的,其组织结构如图1所示。
其中,每个链都包括一组由用户创建的过滤规则,数据包依次到达每个链,并比较其中的每条规则,直到找出匹配规则并执行相应策略(如通过、拒绝等),否则执行默认策略。实际中,数据包在到达Input链之前还要进行测试和正常性检查,在到路由表之前还要被判断是否被伪装,这些,在本图中都被省略了。
Ipchains 经常使用的命令行格式如下:
Ipchains –A chain [–i interface] [–p protocol] [[!] -y]
[–s source-ip [port]] [-d destination-ip [port]] –j policy [-l]
对各选项的说明如下表:
-A 添加一规则到链尾。chain可为input、output、forward。
-i 指定本规则适用的网络接口。通常有eth0、eth1、lo、ppp0等。
-p 指定本规则适用的IP协议,如tcp、udp、icmp等。
[!] –y -y表明tcp握手中的连接请求标志位SYN; ! –y 表示对该请求的响应。
-s src-ip [port] 指明数据包的源IP地址,port表示本规则适用的端口号。
-d dst-ip [port] 指明数据包的目的IP地址及端口号。
-j policy 指定本规则对匹配数据包的处理策略:ACCEPT、DENY或REJECT。
-l 在系统日志/var/log/messages中记录与该规则匹配的数据包。
3 LINUX防火墙的几种常见功能
由于每一个用户的要求和所处的环境都不一样,LINUX防火墙会根据用户的设置实现各种不同的功能。但一般说来,以下三种功能是大多数用户最常用到的。
3.1 包过滤
对数据包进行过滤可以说是任何防火墙所具备的最基本的功能,而LINUX防火墙本身从某个角度也可以说是一种“包过滤防火墙”。在LINUX防火墙中,操作系统内核对到来的每一个数据包进行检查,从它们的包头中提取出所需要的信息,如源IP地址、目的IP地址、源端口号、目的端口号等,再与已建立的防火规则逐条进行比较,并执行所匹配规则的策略,或执行默认策略,这个过程在图1中已经形象的表现出来。
值得注意的是,在制定防火墙过滤规则时通常有两个基本的策略方法可供选择:一个是默认允许一切,即在接受所有数据包的基础上明确地禁止那些特殊的、不希望收到的数据包;还有一个策略就是默认禁止一切,即首先禁止所有的数据包通过,然后再根据所希望提供的服务去一项项允许需要的数据包通过。一般说来,前者使启动和运行防火墙变得更加容易,但却更容易为自己留下安全隐患。
通过在防火墙外部接口处对进来的数据包进行过滤,可以有效地阻止绝大多数有意或无意地网络攻击,同时,对发出的数据包进行限制,可以明确地指定内部网中哪些主机可以访问互联网,哪些主机只能享用哪些服务或登陆哪些站点,从而实现对内部主机的管理。可以说,在对一些小型内部局域网进行安全保护和网络管理时,包过滤确实是一种简单而有效的手段。
3.2 代理
LINUX防火墙的代理功能是通过安装相应的代理软件实现的。它使那些不具备公共IP的内部主机也能访问互联网,并且很好地屏蔽了内部网,从而有效保障了内部主机的安全。为了清楚地描述这一重要功能的实现过程,特假设以下典型情况,如图2所示:
steven为内部网中一台IP是192.168.0.2的主机,其上安装有IE5.0浏览器,并配置为使用防火墙主机192.168.0.1:8080作为代理。firewall就是我们讨论的LINUX防火墙,有两个网络接口,分别是内部接口eth1=192.168.0.1、外部接口eth0=202.117.120.1。在firewall主机上安装有Web代理软件“squid”,并配置其代理端口为8080。www.263.net为263网站的Web服务器,IP为211.100.31.131,Web服务端口80。
如果要从steven主机访问263的主页,其具体的通信过程如图中所示:
(1)IE通过steven的非专用端口1110 (在1024~65535之间随机产生)与防火墙的代理
端口8080建立连接,请求“http://www.263.net”页面。
(2)squid代理接收到请求后,先查找域名“www.263.net”,得到地址211.100.31.131(该
步骤图中省略),然后通过防火墙端口1050与该地址的80端口建立一个连接,请求页面。
(3)www.263.net服务器接到请求后将页面传给squid代理。
(4)防火墙代理得到页面后,把数据复制到(1)中所建立的连接上,IE得到数据并
将“www.263.net”页面显示出来。
通过以上描述,可以清楚地了解到内部主机、LINUX代理防火墙以及外部服务器之间是如何进行数据传输的,那么,在LINUX防火墙内部,那些“防火链”又是如何工作的呢?其工作过程如图3所示:
steven主机发来的数据包经由内部接口eth1进来后,首先接受INPUT链的“检查”:系统内核从包头中提取出信息,与INPUT链中所有适用于eth1接口的过滤规则逐个比较,直到匹配通过。之后,该数据包被转发给本地的代理进程。同样,代理进程发送给远程Web服务器的数据包在从防火墙外部接口发送出去之前,也要经过OUTPUT链的“检查”,即与OUTPUT链中所有适用于eth0接口的规则一一比较。返回的过程正好与上述相反,在此就不再赘述
为了实现以上过程,我们必须在防火墙规则脚本中添加以下规则:
ipchains –A input –i eth1 –p tcp –s 192.168.0.2 1110 –d 192.168.0.1 8080 –j ACCEPT
ipchains –A output –i eth0 –p tcp –s 202.117.120.1 1050 –d 211.100.31.131 80 –j ACCEPT
ipchains –A input –i eth0 –p tcp !-y –s 211.100.31.131 80 –d 202.117.120.1 1050 –j ACCEPT
ipchains –A output –i eth1 –p tcp ! –y –s 192.168.0.1 8080 –d 192.168.0.2 1110 –j ACCEPT
从上文对代理功能的原理和实现的叙述中,我们可以看出,LINUX防火墙实际上扮演了一个“代理网关”的角色。内部主机和远程服务器分别都只与防火墙进行连接,而真正的“起点”和“终点”之间却毫无联系。
3.3 IP伪装
IP伪装(IP Masquerade)是LINUX操作系统自带的又一个重要功能。通过在系统内核增添相应的伪装模块,内核可以自动地对经过的数据包进行“伪装”,即修改包头中的源目的IP信息,以使外部主机误认为该包是由防火墙主机发出来的。这样做,可以有效解决使用内部保留IP的主机不能访问互联网的问题,同时屏蔽了内部局域网。这一点,与前面所讲的代理所达到的目的是很类似的。
关于IP伪装在LINUX防火墙内部的具体实现过程,请看图4。
仍以图2中所示的典型情况为例,steven主机的IE进程直接与远程的Web服务器建立一个连接。当数据包到达防火墙的内部接口后,照样要例行INPUT链的检查。之后,数据包被送到FORWARD链,接受系统内核的“伪装处理”,即将包头中的源IP地址改为防火墙外部接口eth0的地址,并在系统中做下记录,以便一会儿对其回应包的目的IP进行“恢复”。这样,当该数据包顺利从外部接口出来时,其包头中源IP已被改为202.117.120.1。远程服务器会认为这是从防火墙的合法地址发来的,从而对其做出响应。当远程服务器返回的回应包到达防火墙时,先经过INPUT链,然后会根据系统关于IP伪装的记录对数据包的目的IP进行恢复,即将202.117.120.1改为192.168.0.2,最后再经过OUTPUT链返回到steven主机。
为了实现这个过程,我们必须在防火墙规则脚本中添加以下规则:
ipchains –A input –i eth1 –p tcp –s 192.168.0.2 1110 –d 211.100.31.131 80 –j ACCEPT
ipchains –A output –i eth0 –p tcp –s 202.117.120.1 1050 –d 211.100.31.131 80 –j ACCEPT
ipchains –A input –i eth0 –p tcp !-y –s 211.100.31.131 80 –d 202.117.120.1 1050 –j ACCEPT
ipchains –A output –i eth1 –p tcp ! –y –s 211.100.31.131 80 –d 192.168.0.2 1110 –j ACCEPT
ipchains –A forward –i eth0 –s 192.168.0.2 1110 –d 211.100.31.131 80 –j MASQ
与代理功能比较而言,IP伪装不需要安装相应的代理软件,数据包的伪装对用户来说都是“透明”的,并且整个过程都是在IP层实现,因此实现速度较快。缺点是不能对经过的数据包作详细的记录。
以上介绍了LINUX防火墙在实际的设置中常用到的三种功能。但一般说来,用户在创建自己的防火墙规则脚本时,可以根据自己的需要将这三种功能组合起来实现。
4 一个LINUX防火墙实例
以下是我前一段时间为某办公室搭建的LINUX防火墙的实际配置,给出以供参考。
该室网络拓扑图如图5:
有两个局域网,LAN1地址:202.117.120.65/255.255.255.248
为公共网络IP,LAN2地址为192.168.0.0/255.255.255.0,为内部保留地址。LINUX防火墙有两个内部接口:202.117.120.70接LAN1;192.168.0.1接LAN2。
现对防火墙进行配置,使LAN2的主机通过IP伪装访问互联网,但只允许使用外部Web代理服务器202.117.112.34的1252端口。LAN1中的主机被限制使用几种常用的互联网服务(DNS、SMTP、POP3、HTTP和FTP)。
下面就是创建的防火墙规则脚本:
#/etc/rc.d/rc.firewall
#!/bin/sh
# eth0---External_interface
# eth1---LAN1_interface
# eth2---LAN2_interface
echo "Starting firewalling . . ."
#Flush any existing rules from all chains
ipchains -F
#Set the default policy to deny
ipchains -P input DENY
ipchains -P output REJECT
ipchains -P forward REJECT
#Enable traffic on the loopback interface
ipchains -A input -i lo -j ACCEPT
ipchains -A output -i lo -j ACCEPT
#Enable the traffic on the eth1
ipchains -A input -i eth1 -j ACCEPT
ipchains -A output -i eth1 -j ACCEPT
#the traffic on the eth2 only enablling using the WEB PROXY
ipchains -A input -i eth2 -p tcp -s 192.168.0.0/24 1024:65535 -d 202.117.112.34 1252 -j ACCEPT
ipchains -A output -i eth2 -p tcp ! -y -s 202.117.112.34 1252 -d 192.168.0.0/24 1024:65535 -j ACCEPT
#Forwarding rules
ipchains -A forward -i eth0 -s 202.117.120.64/29 -j ACCEPT
ipchains -A forward -i eth0 -s 192.168.0.0/24 -j MASQ
ipchains -A forward -i eth1 -d 202.117.120.64/29 -j ACCEPT
#Enable outgoing the packets from LAN on the External_Interface
ipchains -A output -i eth0 -j ACCEPT
#Enable incoming some ICMP messages on eth
# 1.Dest_Unreachable,Service_Unavailable
ipchains -A input -i eth0 -p icmp -s any/0 3 -d 202.117.120.64/29 -j ACCEPT
# 2.Time_Exceeded
ipchains -A input -i eth0 -p icmp -s any/0 11 -d 202.117.120.64/29 -j ACCEPT
# 3.Allow outgoing pings to anywhere
ipchains -A input -i eth0 -p icmp -s any/0 0 -d 202.117.120.64/29 -j ACCEPT
#Enable Proxy of 202.117.112.34:1252
ipchains -A input -i eth0 -p tcp ! -y -s 202.117.112.34 1252 -j ACCEPT
#DNS (53) (DNS:202.117.112.3)—client modes
ipchains -A input -i eth0 -p udp -s 202.117.112.3 53 -d 202.117.120.64/29 1024:65535 -j ACCEPT
ipchains -A input -i eth0 -p tcp ! -y -s 202.117.112.3 53 -d 202.117.120.64/29 1024:65535 -j ACCEPT
#SMTP(25)Enable sending mail through a remote SMTP gateway
ipchains -A input -i eth0 -p tcp ! -y -s any/0 25 -d 202.117.120.64/29 1024:65535 -j ACCEPT
#POP(110)--Enable receiving mail from a remote POP server
ipchains -A input -i eth0 -p tcp ! -y -s any/0 110 -d 202.117.120.64/29 1024:65535 -j ACCEPT
#HTTP(80) --Enable accessing remote WEB sites as a client
ipchains -A input -i eth0 -p tcp ! -y -s any/0 80 -d 202.117.120.64/29 1024:65535 -j ACCEPT
#FTP(20,21) --Enable accessing remote FTP servers
ipchains -A input -i eth0 -p tcp ! -y -s any/0 21 -d 202.117.120.64/29 1024:65535 -j ACCEPT
ipchains -A input -i eth0 -p tcp -s any/0 20 -d 202.117.120.64/29 1024:65535 -j ACCEPT
ipchains -A input -i eth0 -p tcp ! -y -s any/0 1024:65535 -d 202.117.120.64/29 1024:65535 -j ACCEPT
echo "done"
exit 0
5 结束语
本文着重从防火墙内部工作过程的角度分别对LINUX防火墙的包过滤、代理以及IP伪装功能进行了剖析,同时涉及到了一些网络配置、用ipchains具体实现等方面的内容。文末给出的实例已在实际中调试通过。
参考文献
1 Robert L.Ziegler,《Linux防火墙》人民邮电出版社,2000.10
2 W.Richard Stevens,《TCP/IP详解 卷一:协议》机械工业出版社,2000.4.1
3 Rusty Russell,“Linux IPCHAINS-HOWTO”,netfilter.samba.org,Jul 4,2000
5 Rawn Shah,“Using your old Pentiums and Linux to create a Firewall”,Independent
6 technologist and freelance journalist,September,1999
相关文章阅读
1、社会学专业论文:办好县级台农村广播节目
我国是个农业大国,绝大部分人口在农村,全国上上下下对农业、农民和农村工作都高度重视,始终认为三农问题事关党和国家工作的大局,随着农村改革的不断深入和农村市场经济的发展,我国的农业结构、农村劳动
2、大学生创业心得:创业的感觉挺赞
小雨夹着雪花,今年上午9时杏花公园却是一派热气腾腾。合肥市创建国家级创业型城市宣传月今天在这里正式启动,与此同时,三县七区的宣传活动同时拉开帷幕。活动将持续一个月,从3月1日至31日。据了解,
3、用工荒期间 农民工化被动为主动
自2008年的全球金融危机开始,民工荒已然是春节前后必被提及的常规性话题,而今年尤甚。全国多地的“民工荒”或招工难的报道铺天盖地持续不断,此类新闻不仅占据着门户网站的重要位置,也是中央媒体密切
4、如果应届毕业生找工作时以职业发展为重
十几年寒窗苦读,终于等到走出校门,走入社会的那一天,可人生却才刚刚开始。找到一份适合自己,也让自己满意的工作是很必要的。但世事古难全,没有哪家企业提供的工作是面面俱到,所有的条件都符合自己的要求。于是
5、福州大学生创业:租赁油纸伞
大红双喜、宁静水乡、优雅淑女……20日下午,阳光明媚,两排制作精美、充满婉约气息的油纸伞在南后街一处摊位上悄然“绽放”,引来古街上游客驻足欣赏。 “这是福州三宝之一的‘油纸伞’。”记者在现场
6、好的工作岗位也是留给有准备的人
杜洪月是鞍山师范学院外语系英语专业大四学生。18日,他刚刚和市内一所私立学校签了就业合同,毕业后就可以上班。算起来,从去年10月底开始找工作,只用了两个多月就找到了满意的单位,和他的同学相比,杜洪月求
7、把喜好变成财富
人人都会有自己的喜好,并且从小到大不知道会沉迷多少事物,喜好多少东西。我们人类对自己极为喜爱之事多半会沉迷,也就会不自由地为了自己喜欢的事或物尽心心力,悉力以赴,效果当然就会事半功倍。因此,正常正规、
8、善用古语 为求职信提升魅力
当今世界,人比狗多,狗比鸟多,鸟比虫多,虫比座位多。想找把椅子坐坐,好难哪!
多少英俊,怀揣证书,手捧简历,满世界奔波于各个职场,满天空抛撒精美求职书,换来的却是一个个白眼,看到的全是坐满了
9、海归就业不理想 高薪职位一岗难求
80后小伙“卡宴”到澳洲留学,6年花费60多万元,但去年回国后工作却无着落,待业至今。日前,郑州市民“卡宴”通过网络聊天向记者讲述了自己的经历。 出国时踌躇满志,想着拿到国外高学历,回国找
10、打造英文简历基本原则
和一般中文履历的表现方式稍有不同,就整体来说,一份能够积极展现个人特色、优点以及潜力的英文履历是比较容易得到主试者青睐的。不过要注意的是国内外商公司的主管毕竟通常是台湾人,过分夸张卖弄的语气还